《个人信息保护法》规定的本土被遗忘权及其保护

《中华人民共和国个人信息保护法》在个人信息处理原则方面借鉴了《一般数据保护条例》的相关内容,但在刑事诉讼领域却没有建立类似欧盟《个人数据刑事司法指令》的相关规范。处理个人数据时,不能将普通的数据处理原则照搬到刑事诉讼中来。基于刑事诉讼活动的特殊性,与自然限制的公开、透明原则,存储限制原则和知情同意原则相比,合法、正当、必要原则以及保障安全和质量原则与刑事诉讼更能自然契合。更进一步地,数据处理的目的限制原则、数据最小化原则及准确性原则则能够在刑事诉讼进程中发挥关键性独立作用。

     

学术期刊用户画像个人信息保护：风险与规制——以《个人信息保护法》为视角

用户画像技术在学术期刊智能化应用中为用户提供精准知识服务,但用户画像中个人信息的大规模应用加剧了用户信息收集、用户标签侵权以及算法歧视、算法偏见等风险,本文基于法律视角剖析学术期刊用户画像个人信息和敏感个人信息界定、个人信息主体权利认定、算法自动化决策透明度与可解释性的实现、个人信息处理者特殊保护义务的规定、个人信息跨境交流管理等,提出了学术期刊用户画像个人信息保护法律规制策略。     

论我国个人信息域外保护的新发展——以《个人信息保护法》为切入点

“网络主权”是在经济全球化与网络时代下,国家主权获得新发展的具体体现。在“世界百年未有之大变局加速演进”的时代背景下,国家间的竞争从经贸领域迅速扩张至其他领域,各国由此不断强化其国内法的域外效力与司法适用。《个人信息保护法》作为信息数字社会的基础性法律制度,对个人信息权益保护、信息数据的跨境提供、关键数据和敏感信息的特殊处理、域外机关的跨境调用等多个方面,已作出相应安排,但是仍然存在制度供给不足、配套措施滞后、法律责任类型单一、司法机关相对被动等方面的问题。为此,应当从以下方面作出改进：推进域外效力的配套制度供给研究,发挥行政监管在空间治理方面的作用,强化法院在法律域外适用中的角色定位,从立法、执法、司法等方面统筹推进,以构建具有域外效力的法治体系为理念与目标,扩展相关国内法的域外效力。     

个人信息保护社会责任的法律内涵及其实现

个人信息保护社会责任有助于督促以网络平台为代表的个人信息处理者通过自我规制维护用户信息安全。根据《中华人民共和国民法典》和《公司法》相关规定,守法守德和维护交易安全是企业社会责任条款的核心内涵。在《个人信息保护法》的规范体系下,守法守德既是检验个人信息处理者有效合规的重要依据,也为其建立差异化的合规体系提供了解释空间。维护交易安全可以被《个人信息保护法》中的安全原则所吸收,其规范意义仅限于遵守道德底线。在实施个人信息保护社会责任强制报告时,应以遵守或解释的方法来分离披露指标。建立健全合规体系是落实个人信息保护社会责任的重要途径,合规义务的履行应当在董事会和监事会同步下沉,由外部专业人员组成的个人信息保护监督委员会也应嵌入公司监事会并向其负责。此外,社会责任条款作为概括性规范也可进入司法裁判。     

个人信息保护中告知同意规则的规范构造

告知同意规则在个人信息保护中处于重要地位,但是告知同意规则在适用中存在诸多问题。引入激励机制能够促进信息处理者积极履行告知义务以及信息主体提供更高质量的“同意”。在对信息处理者激励的层面上,赋予告知同意规则以排除管理性强制性规定的功能,并限制信息主体单方变更权的行使范围。在对信息主体激励的层面上,赋予信息主体可选择“同意”的空间,设置“一键同意+可以商讨”的选择结构。引入激励机制的告知同意规则能够在不偏离原有制度框架的基础上,有效促进个人信息保护与个人信息流通的平衡。     

韩国《个人信息保护法》的最新修正及其对我国之启示

基于提升对核心资源数据的利用活性化,发展新产业等目的,韩国立法机关在2020年对《个人信息保护法》进行了幅度最大且最具有现实意义的一次修正。此次新增“假名信息”的概念并明确其具体的含义,否认需要耗费极多时间和费用、运用超前技术才能被识别的信息属于个人信息。与此同时,还扩大了“知情同意原则”的例外情形,认为只要与收集信息的目的合理关联,在满足一定条件的前提下可以不经信息主体的同意利用或者向第三者提供个人信息。若是出于统计、科学研究、公益记录保存等目的,亦可无须信息主体的同意对个人信息进行假名处理。这些修正内容为今后《中华人民共和国个人信息保护法》的进一步完善提供了诸多有价值的启发,可以积极地予以借鉴。具体而言,应当在《中华人民共和国个人信息保护法》中肯定匿名化信息的相对性,确立目的相关联原则以及合理框定不适用“知情同意原则”的情形。     

大数据时代个人信息权益共享机制研究

大数据时代,个人信息作为信息经济的重要组成部分,其社会公共属性越来越强,在政府社会管理、企业经营以及保护第三方权益中都扮演着重要的角色。但在收集、处理、使用个人信息的过程中,各方主体之间存在信息权益冲突,迫切需要规范层面提供协调机制。虽然我国相关立法已经有所尝试,但尚未有具体的操作规范。欧盟《一般数据保护条例》对正当利益优先保护的规定,体现出欧盟在调节各方信息权益时的权衡和取舍。我国立法应借鉴《一般数据保护条例》关于信息数据权益使用的规制,构建信息主体、国家机关、企业、第三方利益者四方主体共享的个人信息权益体系,以妥善解决各方主体之间的权益冲突。     

国家机关处理个人信息的特殊风险及其法律规制

国家机关作为我国数据资源的最大掌控者,在履行法定职责过程中涉及大量个人信息的处理。国家机关处理个人信息存在处理失控、处理泛化、信息监控和信息泄露等特殊风险,但我国现有立法对国家机关处理个人信息所涉及的特殊风险缺乏足够多的有实际约束力的制度设计。面对国家机关处理个人信息的特殊风险,针对我国现有立法对国家机关处理个人信息法律规制的不足,国家机关处理个人信息的法律规制应从细化国家机关处理个人信息的告知义务、规范国家机关对个人信息处理的授权、明确国家机关处理个人信息的比例原则、强化国家机关处理个人信息的安全保障义务、建立国家机关个人信息处理的分级机制等五个方面展开。     

网络环境下的个人信息保护立法

个人信息关系到人格尊严及人格自由发展,对个人信息进行保护是个人信息自决权的必然要求。由此,个人信息保护立法成为全球最为瞩目的立法运动之一,中国也不例外,数年前即开始酝酿个人信息保护立法。为此,有必要广泛参考国外的经验特别是欧盟的模式;以民法典和单行法的二元立法模式来对个人信息进行保护。为了保证立法的实效,必须针对信息和网络技术发展为个人信息所带来的挑战,提出有效的原则和措施。就此而言,中国的行政机关已开始进行探索和尝试,其中所包含的成就和不足,对未来的个人信息保护法来说都是十分有益的参考。     

侵犯公民个人信息罪刑法适用的调整和重构

司法解释有关侵犯公民个人信息罪中的个人信息的定义应同《个人信息保护法》的规定保持一致。合法获取但非法使用个人信息的行为亦应构成侵犯公民个人信息罪。侵犯公民个人信息罪是故意犯罪且相关行为应具有法益侵害具体结果。获得公民知情同意的侵犯公民个人信息行为不构成侵犯公民个人信息罪,"公民知情同意"的效力应当以《个人信息保护法》赋予公民最后一次行使同意权的效力为基准。侵犯公民个人信息罪的保护法益应为与公民人格、财产权紧密关联的个人信息自决权。司法解释对"情节严重"的认定应根据个人信息对公民个人利益影响的紧密程度以及行为人的主观动机两个方面综合考量。司法解释应采用《个人信息保护法》的分类方式,将个人信息区分为敏感个人信息和一般个人信息两种,并对侵犯公民个人信息再犯情形的构罪标准进行修改。     

超越"马法之议": 非完全合同视角下的个人信息保护法

以知情同意为核心的个人信息处理样态,造就了司法审判中合同思维的路径依赖,网络法的"马法之议"再次进入学界视野.信息处理活动的长期性及其法律关系固有的隐性不平等,决定了信息处理合同的非完全属性,个人信息保护法以格式范本、漏洞补全和冲突防范机制替代当事人自由协商具备合理性基础.遵循公共利益至上、国家立法优位和科技向善为本的...     

论我国个人信息保护法域外效力制度的构建

个人信息保护法域外效力制度是指一国对某一法域外处理个人信息的人、物或行为实施管辖,从而将其管辖范围扩展至该国领土之外的一种法律制度,其不仅是建立在各方参与主体切实利益需求之上的制度创新,在更宏观的意义上,也是一国实现政治、经济等多元目的的法律武器。从《欧盟数据保护指令》到《欧盟通用数据保护条例》,欧盟进一步扩大法律域外效力范围,确立了以属地原则为主、效果原则为补充的管辖原则,并为多数国家所效仿,这种做法的实质是以整个欧洲市场作为筹码参与国际博弈。《美国云法案》以技术和市场占优的美国企业对全球数据的控制为筹码,通过美国企业在全球的分布将法律武器延伸至世界各地,输出美国式隐私保护标准,以最大化维护其国家利益。在尚未形成国际惯例和条约的现状下,通过国内立法进行域外效力扩张是多数国家维护数据主权并参与网络空间国际治理的共通做法。面对这一国际立法主流,我国应构建域外立法管辖和域外执法管辖并存的法律制度,进一步提升个人信息保护法域外效力制度的适用性和体系性,积极参与并主导个人信息保护法国际条约的制定,推动互联网全球治理体系变革中国方案的实现。     

《民法典》中私密信息的内涵——兼论私密信息与敏感个人信息的关系

我国《民法典》采用了隐私权与个人信息并立保护的"二元模式",并将"私密信息"作为二元并立的交叉部分规定在第1034条第3款,形成了《民法典》私密信息与一般个人信息的划分.《民法典》中未对"私密信息"作出界定."私密信息"的内涵为可直接或间接识别至特定自然人,且不愿为他人知晓的信息;同时"私密信息"应受到公共利益的限制.与《民法典》的分类不同,《个人信息保护法》采用的是敏感个人信息与一般个人信息的分类.但是,"敏感个人信息"不等于"私密信息",二者之间是包含与被包含的关系.二者在内涵上存在重叠;信息主体对"私密信息"的控制程度远高于"敏感个人信息";"敏感个人信息"的外延大于"私密信息".     

公共属性视角下个人信息保护的思路转变与制度完善

基于“个人自治”的私法保护路径已经无法满足大数据时代下个人信息保护的新要求。数据时代下共享社会的有机性、个人信息标识性以及国家社会治理的需求性共同塑造个人信息的公共性,由此生成维护个人信息公共利益、预防个人信息风险、规制个人信息处理规则的公法保护路径,弥补了传统个人信息私法保护路径的单一性、有限性、扩张性缺陷。但公法保护路径仍存在法理依据不明、个人信息专责保护机构缺失、信息保护节点导向性不足等问题。为完善个人信息保护公法规范体系,提出以基本权利作为公法法理依据设立个人信息保护专责机构,建立事前、事中、事后一体化保护机制,以加快形成我国公私并行的个人信息法律保护体系。     

《个人信息保护法》同意撤回规则的教义学评析

同意有不同的类型,其撤回也各有不同的理论依据。单纯阻却信息处理行为违法性的同意,性质上是单方的准法律行为,基于人的自我决定权之法理,在侵害行为实施前,应当允许受害人撤回已作出的同意。在各类服务协议中授予相对人使用个人信息的同意,性质上是订立合同的意思表示,不仅存在违法性阻却的效力,更在双方之间建立了无偿的服务合同关系,基于服务受领人的任意解除权,信息主体可以撤回授权。统合了上述情形的同意之撤回,或以撤销称之更为妥适。同意撤回的规范构造包括信息处理者的告知义务、撤回权行使的方式、撤回前信息处理行为的合法性不受影响、信息主体不因撤回同意而蒙受不利、撤回同意后信息处理者的删除义务等方面。     

《个人信息保护法》视野下隐私权与个人信息权益的相互关系 ——以私密信息的法律适用为中心

个人信息权益究竟属于隐私权的保护范围,抑或是一项独立的权利,在理论上尚存争议.我国在隐私权和个人信息权益的保护模式上经历了从一体化保护到逐渐分离,再到《民法典》对二者进行严格区分的制度变迁.这种严格的区分保护在实践中面临个人信息的私密性检验难题、私密信息与敏感信息的关系难题、非私密信息保护力度的降低问题等.在《个人信息...     

《个人信息保护法》中“告知—同意”规则的适用

《个人信息保护法》所确立的“告知—同意”规则中“同意”的性质应是一种与“告知”相对应的意思表示,两者达成双方法律行为,进而设立个人与信息处理者之间的法律关系。单独同意、书面同意、重新取得同意、监护人同意均是特别形式的“同意”,所对应的告知应包含特定内容,要根据法律要求的严格程度进行分层适用,并结合个人合理预期和社会发展要求来分析其适用。